kostenloser Webspace werbefrei: lima-city


Viren, Backdoors, was auch immer....

lima-cityForumHeim-PCBetriebssysteme

  1. Autor dieses Themas

    d****n

    Hi Leudde!
    ich hab da n Problem.
    Ich nutze ein Programm namens StartEd welches mir alle anwendungen anzeigt die beim systemstart gestartet werden und man kann sie selber ?ndern wie man m?chte.

    Vor einigen Wochen kamen ein paar neue anwendungen hinzu die keines wegs sauber aussehen:

    boot32.pif
    msdos.pif
    mshost.pif
    hhs.pif
    svch32.pif
    up32.pif
    updating.pif
    sys32.pif

    Ich hab keine Ahnung was *.pif ist, aber als ich die datei boot32.pif googlete, kam raus dass sie ein Backdoordingens ist!

    Ungl?cklicherweise sind dies keine richtigen Dateien, bzw. diese dateien werden nicht angzeigt und sind irgendwie versteckt.
    Selbst im abgesicherten Modus kann ich diese Dateien nirgends finden!

    Ab und zu werden sie als Fehler beim Herunterfahren angezeigt, da sich das ganze aber verschlimmern kann, m?chte ich diese lieber gleich l?schen!

    Bitte gebt mir Hilfestellung, den Pc m?chte ich nicht formatieren, deshalb gebt bitte Sinnvolle beitr?ge.


    PS: Wenn ich sie von StartEd aus der Boot-Liste streiche, sind sie nach dem n?chsten Start wieder neu drin!

    greetz
    Disoon
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. s******3

    benutze mal im abgesicherten modus das programm hijackthis, speicher das logfile und lass es im internet auswerten unter hijackthis.de. dann kannst du b?se eintr?ge, die dir im internet genannt werden mit hijackthis entfernen. aber wichtig, schalte die systemwiederherstellung vorher aus! da wenn du nicht alle sachen davon entfernst, kommen sie wieder!

    und dieses programm namens started w?rde ich sofort wieder entfernen. sowas gibts von microsoft auch. Start ---> ausf?hren ---> msconfig
  4. *.pif sind Verkn?pfung f?r MSDOS- Programme und speichern einige Einstellung f?r ein Dosprogramm. Wenn man aber eine EXE Datei, deren Extension einfach ?ndert in pif l?sst sich die Datei auch ausf?hren. Am besten l?sst du mal nen Virenprog (ich pers?nlich benutze Antivir) r?berlaufen und guckst obs was bring(sollte f?r AV aber kein Prob sein der ?berschreibt und l?scht anschlie?end solche dinger).
  5. Autor dieses Themas

    d****n


    benutze mal im abgesicherten modus das programm hijackthis, speicher das logfile und lass es im internet auswerten unter hijackthis.de. dann kannst du b?se eintr?ge, die dir im internet genannt werden mit hijackthis entfernen. aber wichtig, schalte die systemwiederherstellung vorher aus! da wenn du nicht alle sachen davon entfernst, kommen sie wieder!



    Gerade jetzt beim posten kam eine Virenmeldung von AntiVir: C:\WINDOWS\SYSTEM32\SYS.EXE
    Enh?lt Signatur des Droppers DR/Hijack.Barnius.1


    @funkdoobiest:
    Ich hab auch AntiVir, doch es kann diese Dateien net finden, da sie, wie schon gesagt, ziemlich versteckt sein m?ssen und als Dateien net angezeigt werden!


    Ich werd jetzt mal das Hijackthis probieren auf siralex3 seine verantwortung^^

    greetz
    Disoon
  6. Machst auch alle 14 Tage Onlineupdate von AV also ich selber hat noch nier Probleme damit. AV l?scht sogar Datein die sich im Ordner "System Volume Information" befinden wo nicht mal der Computeradministrator zugriff druf hat.
  7. Autor dieses Themas

    d****n

    Ich hab ja auch keine Probleme mit AV!
    Hab ich nie behauptet. Ich mach die Updates jeden Tag, also daran kanns net liegen!

    Hier mal die HiJackThis Loginfo:

    Logfile of HijackThis v1.99.1
    Scan saved at 20:10:03, on 24.10.2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    H:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
    H:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
    H:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\svchost.exe
    H:\Programme\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    H:\Programme\Logitech\MouseWare\system\em_exec.exe
    H:\Programme\Logitech\iTouch\iTouch.exe
    H:\Programme\AVPersonal\AVGNT.EXE
    H:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
    H:\Programme\D-Tools\daemon.exe
    H:\Programme\Firefox\firefox.exe
    H:\Programme\Trillian\trillian.exe
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\System32\hhs.pif
    H:\Programme\WinRAR\WinRAR.exe
    C:\DOKUME~1\Disoon\LOKALE~1\Temp\Rar$EX00.485\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.search345quest.com/sp2.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.search345quest.com/sp2.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.search345quest.com/sp2.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fuck-portal.com
    R3 - URLSearchHook: Cram Toolbar - {20929603-21DB-477C-BA6F-0B8E70B3C8A0} - C:\Programme\Cram Toolbar\untitled.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [zBrowser Launcher] H:\Programme\Logitech\iTouch\iTouch.exe
    O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
    O4 - HKLM\..\Run: [AVGCtrl] "H:\Programme\AVPersonal\AVGNT.EXE" /min
    O4 - HKLM\..\Run: [Adobe Version Cue CS2] H:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
    O4 - HKLM\..\Run: [HTML Help System] hhs.pif
    O4 - HKLM\..\Run: [System service76] C:\WINDOWS\etb\pokapoka76.exe
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "H:\Programme\D-Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\RunServices: [HTML Help System] hhs.pif
    O4 - HKCU\..\Run: [HTML Help System] hhs.pif
    O4 - HKCU\..\RunServices: [Microsoft Client] mshost.exe
    O4 - HKCU\..\RunServices: [Windows Updating Service] updating.pif
    O4 - HKCU\..\RunServices: [MS-DOS Boot Service] boot32.pif
    O4 - HKCU\..\RunServices: [MSDOS Security Service] msdos.pif
    O4 - HKCU\..\RunServices: [Windows System Security] sys32.pif
    O4 - HKCU\..\RunServices: [Up Service] up32.pif
    O4 - HKCU\..\RunServices: [SVC Service] svc32.pif
    O4 - HKCU\..\RunServices: [SVCH Service] svch32.pif
    O4 - HKCU\..\RunServices: [HTML Help System] hhs.pif
    O4 - Global Startup: Adobe Gamma.lnk = ?
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://J:\content\include\XPPatchInstaller.CAB
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123445622703
    O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://J:\Content\include\msSecUcd.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BBF4CB35-BA38-43AA-AF0E-B8A5C983F810}: NameServer = 217.237.149.225 217.237.151.97
    O20 - Winlogon Notify: WB - H:\PROGRA~1\Stardock\OBJECT~1\WINDOW~2\fastload.dll
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Adobe Version Cue CS2 - Unknown owner - H:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing)
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - H:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - H:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: DirectX Graphics (dxdmain) - Unknown owner - C:\WINDOWS\System32\dxdmain.exe (file missing)
    O23 - Service: ET dll Locator (frepdll.exe) - Unknown owner - C:\WINDOWS\frepdll.exe (file missing)
    O23 - Service: hpdriver - Unknown owner - C:\WINDOWS\hpdriver.exe (file missing)
    O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: Net Functions Monitoring (Netmon) - Unknown owner - C:\WINDOWS\System32\Netmon.exe (file missing)




    Soooo, und was mach ich nun damit? an wen schick ich das bzw. kann ich mich wenden?

    //EDIT:
    Ich hab die jetzt auswerten lassen, hab nur einen B?sen gefunden (sys32.pif)

    Hmm, den rest von den Pifs kennt der net...

    Beitrag ge?ndert am 24.10.2005 20:23 von disoon
  8. s******3

    also, fixen solltest du auf alle f?lle:
    - O4 - HKCU..RunServices: [MSDOS Security Service] msdos.pif
    B?se Malware
    Trefferquote: 99 % (Resultate)
    Unbedingt fixen!

    lass mal noch spybot und adaware dr?ber kaufen, is auch alles freeware, was auch net schlehct is is der cwshreder. und wie immer im abgesicherten modus ohen systemwiederherstellung



    Beitrag ge?ndert am 25.10.2005 00:59 von siralex3
  9. kick in der msconfig alle prozesse au?er deinen antivirus und starte neu, dann kannst du bequem in der registry alle unn?tigen starteintr?ge l?schen.
    dann nochmal starten, dann wird der virus nicht mehr gesatartet. jetzt kann der virenscanner alle viren l?schen.

    antivir ist eine etwas primitive l?sung.
    housecall von trendmicro ist eine neutrale und sichere l?sung, da diese nicht auf dem lokalen system installiert wird und somit auch nicht vom virus befallen werden kann.
    http://de.trendmicro-europe.com/consumer/housecall/housecall_launch.php

    MFG
    Andy
  10. s************h

    Das geht nicht unbedingt das sich die Trojaner,Viren,Adware selber zum Autostart hinzuf?gen
  11. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!